Пројекат , развијање алата за снимање и анализу саобраћаја, ослобађање алата за дубинску инспекцију паковања , настављајући развој библиотеке . Пројекат нДПИ је основан након неуспешног покушаја преноса измена у ОпенДПИ, који је остављен без пратње. нДПИ код је написан у Ц и лиценцирано под ЛГПЛв3.
Пројекат одређују протоколе на нивоу апликације који се користе у саобраћају, анализирајући природу мрежне активности без везивања за мрежне портове (може да идентификује добро познате протоколе чији руковаоци прихватају везе на нестандардним мрежним портовима, на пример, ако се хттп не шаље са порт 80, или, обрнуто, када неки покушавају да камуфлирају другу мрежну активност као хттп тако што ће је покренути на порту 80).
Разлике у односу на ОпенДПИ се своде на подршку за додатне протоколе, портирање за Виндовс платформу, оптимизацију перформанси, прилагођавање за коришћење у апликацијама за праћење саобраћаја у реалном времену (уклоњене су неке специфичне карактеристике које су успоравале мотор),
могућности склапања у облику модула Линук кернела и подршке за дефинисање подпротокола.
Подржано је укупно 238 дефиниција протокола и апликација, од
ОпенВПН, Тор, КУИЦ, СОЦКС, БитТоррент и ИПсец за Телеграм,
Вибер, ВхатсАпп, ПостгреСКЛ и позиви на ГМаил, Оффице365
ГооглеДоцс и ИоуТубе. Постоји серверски и клијентски декодер ССЛ сертификата који вам омогућава да одредите протокол (на пример, Цитрик Онлине и Аппле иЦлоуд) користећи сертификат за шифровање. Помоћни програм нДПИреадер се испоручује за анализу садржаја пцап думпова или тренутног саобраћаја преко мрежног интерфејса.
$ ./нДПИреадер -и етх0 -с 20 -ф "хост 192.168.1.10"
Откривени протоколи:
ДНС пакети: 57 бајтова: 7904 токови: 28
ССЛ_Но_Церт пакета: 483 бајтова: 229203 токова: 6
ФацеБоок пакети: 136 бајтова: 74702 токова: 4
ДропБок пакети: 9 бајтова: 668 токова: 3
Скипе пакети: 5 бајтова: 339 токова: 3
Гугл пакета: 1700 бајтова: 619135 токова: 34
У новом издању:
- Информације о протоколу се сада приказују одмах по дефиницији, без чекања да се добију пуни метаподаци (чак и када одређена поља још нису рашчлањена због неуспеха у пријему одговарајућих мрежних пакета), што је важно за анализаторе саобраћаја који морају одмах да реагују на одређене врсте саобраћаја. За апликације које захтевају потпуну дисекцију протокола, ндпи_ектра_диссецтион_поссибле() АПИ је обезбеђен да би се осигурало да су сви метаподаци протокола дефинисани.
- Имплементирано дубље рашчлањивање ТЛС-а, издвајање информација о исправности сертификата и СХА-1 хеш сертификата.
- Ознака "-Ц" додата је апликацији нДПИреадер за извоз у ЦСВ формату, што омогућава коришћење додатног комплета алата нтоп прилично сложени статистички узорци. На пример, да бисте одредили ИП корисника који је најдуже гледао филмове на НетФлик-у:
$ ндпиРеадер -и нетфлик.пцап -Ц /тмп/нетфлик.цсв
$ к -Х -д ‘,’ „изаберите срц_ип,СУМ(срц2дст_битес+дст2срц_битес) из /тмп/нетфлик.цсв где ндпи_прото попут групе „%НетФлик%“ према срц_ип“192.168.1.7,6151821
- Додата подршка за оно што је предложено у идентификовање злонамерне активности скривене у шифрованом саобраћају коришћењем величине пакета и слање анализе времена/латенције. У ндпиРеадер-у, метод се активира опцијом „-Ј“.
- Предвиђена је класификација протокола у категорије.
- Додата подршка за израчунавање ИАТ-а (Интер-Арривал Тиме) за идентификацију аномалија у коришћењу протокола, на пример, за идентификацију употребе протокола током ДоС напада.
- Додате могућности анализе података на основу израчунатих метрика као што су ентропија, средња вредност, стандардна девијација и варијанса.
- Предложена је почетна верзија везивања за језик Питхон.
- Додан је режим за откривање читљивих стрингова у саобраћају ради откривања цурења података. ИН
ндпиРеадер режим је омогућен са „-е“ опцијом. - Додата подршка за метод идентификације ТЛС клијента , који вам омогућава да на основу карактеристика координације везе и наведених параметара одредите који софтвер се користи за успостављање везе (на пример, омогућава вам да одредите употребу Тор и других стандардних апликација).
- Додата подршка за методе за идентификацију ССХ имплементације () и ДХЦП.
- Додате функције за серијализацију и десеријализацију података у
Тип-дужина-вредност (ТЛВ) и ЈСОН формати. - Додата подршка за протоколе и услуге: ДТЛС (ТЛС преко УДП),
Хулу,
ТикТок/Мусицал.ли,
ВхатсАпп видео,
ДНСоверХТТПС
Датасавер
линија,
Гоогле Дуо, Хангоут,
ВиреГуард ВПН,
ИМО,
Зоом.ус. - Побољшана подршка за ТЛС, СИП, СТУН анализу,
Вибер,
ВхатсАпп,
Амазон видео,
СнапЦхат
ФТП,
КУИЦ
ОпенВПН УДП,
Фацебоок Мессенгер и Хангоут.
Извор: опеннет.ру